Я работаю над модулем функции поиска, который предполагает отображение списка заголовков проектов в пользовательском интерфейсе, а данные отображаются в файле .jst.e js, например, <%= title %>.
Но когда заголовки выглядят так -
'"><button><svg/onload=v=prompt;v(/xss_haha/.source);v(0)></button> ''--!>Svg Onfocus=confirm `1`<!--//#'
<h1>Hello</h1>
'<svg/onload=alert('XSS')>'
<img src=x onerror=alert(1)>
<script>alert(1)</script>
Они выполняются в пользовательском интерфейсе, а не отображаются как есть.
PS Я бэкэнд-разработчик ( пытаюсь изучить basi c frontend)